Nederlandse bedrijven lopen door cybercrime gemiddeld drie keer per jaar direct omzet mis en hun productiviteit wordt door deze misdadige activiteiten eveneens drie keer per jaar serieus ondermijnd. Financiële organisaties en zakelijke dienstverleners zijn de grootste slachtoffers, zij lopen gemiddeld 21 keer per jaar direct omzet mis en hun productiviteit wordt gemiddeld zes keer per jaar ondermijnd. Dit is één van de conclusies uit de Business Continuity Benchmark 2005 van marktonderzoeksbureau IDC.

Uit deze benchmark, waaraan 246 bedrijven met meer dan honderd werknemers meewerkten, blijkt verder dat de meeste grote Nederlandse organisaties zeer actief zijn op het gebied van bedrijfscontinuïteit. Het onderzoeksbureau verwacht dat de aandacht voor het onderwerp in de komende 12 maanden verder zal toenemen, aangezien de volwassenheid van het beleid in weinig marktsectoren voldoende is.

Peter Vermeulen van IDC Benelux: “Organisaties blijken zich bewuster te zijn van hun kwetsbaarheid als gevolg van de terroristische aanslagen in de afgelopen maanden en de toename van cybercrime. Daarbij speelde overigens ook een rol dat het veldwerk voor deze benchmark de dagen na de aanslagen in Londen plaatsvond. De belangrijkste drijfveren om meer aandacht te geven aan business continuity zijn volgens de benchmark echter het beperken van financiële risico’s (in de industrie, handel, IT en telecom) en het voldoen aan regelgeving (financiële sector, zakelijke dienstverlening, overheid, onderwijs, gezondheidszorg).”

De aanslagen hebben in Nederland wel geleid tot een heroverweging van plannen voor bedrijfscontinuïteit. Eén op de vier bedrijven schat het risico van terroristische dreiging hoger in dan voor de aanslagen. Bij grote bedrijven, overheid en industrie is dit zelfs één op de twee. Daarentegen stelt één op de tien organisaties dat er eigenlijk actie nodig is, maar dat dit niet gaat gebeuren.

Plannen niet geïntegreerd
IDC definieert een business continuity strategie als volgt: Het met organisatorische en technische middelen voorkomen van het ongewenst stilvallen van bedrijfsactiviteiten en het beperken van de bedrijfsschade mocht het toch zover komen. Ruim de helft van de ondervraagde Nederlandse bedrijven heeft uitgewerkte plannen voor databeveiliging (63 %) en voor data back-up & recovery (59 %). Ook aan fysieke beveiliging wordt door bijna de helft van de organisaties gedacht. Een bedrijfscontinuïteitsplan, een bedrijfsherstelplan en een omgevingsplan komen veel minder vaak voor. Bovendien beschikt slechts een kwart van de organisaties over een geïntegreerd continuïteitsplan, dat meerdere van de eerdergenoemde elementen samenvoegt.

Vermeulen: “Bij investeringen in verbetering van de bedrijfscontinuïteit geven organisaties voorrang aan optimale beschikbaarheid van hardware en software. Toename van fysieke criminaliteit en cybercrime zijn meestal van ondergeschikt belang. Dat is opvallend, aangezien gebleken is dat organisaties als gevolg van cybercrime direct omzet mislopen en ook de productiviteit van de organisatie wordt bedreigd.”

Bijna eenderde van de bedrijven is ervan overtuigd dat de beveiligingsstrategie klaar is voor de ontwikkelingen op het gebied van technologie en cybercrime in de komende drie jaar. Een kwart van de bedrijven geeft aan pas serieus te investeren als een incident plaatsvindt. Deze groep blijft dus achter de feiten aanlopen. De overige bedrijven zitten hier qua strategie tussenin. Sommigen passen hun beveiliging op basis van nieuwe producten aan, anderen doen het precies andersom.